RootForum Community

Auf meinen HPUX kisten habe ich "Trusted System" aktiviert. Dies heisst dass aus der /etc/passwd der rootaccount verschwindet.
Gibt es so eine Möglichkeit auch bei linux?
Hat da jemand Erfahrung mit?
Und hat jemand Erfahrung damit, wo man einstellen kann, dass nicht jeder root werden kann? klar über Gruppenzuweisung, aber wo steht, welche Gruppe root werden darf?

1. Was soll das bringen?

2. pam_wheel.

Gibt es so eine Möglichkeit auch bei linux?

Jein: es gibt Software unter Linux, die dich diesem Ziel näher bringt (wobei sich HP-UX da definitiv nicht auf den "verschwundenen" root-Account beschränkt). Als Stichworte wären dabei zu nennen:

- SELinux
Ein von der NSA entwickeltes MAC- (Mandatory Access Control) System, das mittlerweile standardmäßig ab dem 2.6er-Kernel enthalten ist, obwohl es ein paar potenzielle Schwächen mitbringt.

- GRSecurity
Auch die erweiterten GRSecurity-Optionen ermöglichen dir, die Allmacht von root etwas mehr einzuschränken.

- RSBAC
Das z.Zt. wohl mächtigste MAC-System.

Sämtliche Systeme haben aber gemein, dass man ein gerüttelt Maß an Hintergrundwissen und Zeit zur Einarbeitung mitbringen sollte, um das System seinen Bedürfnissen anpassen zu können.
Glücklicherweise gibt es mittlerweile bereits Distributionen, die einem einen Teil dieser Arbeit abnehmen:

- Die kommende Fedora Core 2 wird SELinux zwar per default deaktiviert lassen, dafür aber eine gewisse Standardpolicy mitbringen, die für ganz allgemeine Zwecke halbwegs passabel nutzbar ist.

- Das auf Debian basierende Adamantix setzt standardmäßig (u.a.) auf RSBAC, und bringt auch eine mittlerweile sogar recht nutzbare Defaultpolicy mit.

1. Das bringt insofern etwas, da nun auch ein normaler User, welcher ja Leserechte auf meine passwd hat, sich diese nun nicht mehr kopieren kann. Wenn er sich die passwd kopiert und zuhause crackt hat er das rootpass. Das will ich verhindern.

2. Thx.

1. Das bringt insofern etwas, da nun auch ein normaler User, welcher ja Leserechte auf meine passwd hat, sich diese nun nicht mehr kopieren kann. Wenn er sich die passwd kopiert und zuhause crackt hat er das rootpass. Das will ich verhindern.

Dazu gibt's seit mittlerweile ziemlich langer Zeit die /etc/shadow...

Hallo!

CaptainCrunch wrote:- SELinux
Ein von der NSA entwickeltes MAC- (Mandatory Access Control) System, das mittlerweile standardmäßig ab dem 2.6er-Kernel enthalten ist, obwohl es ein paar potenzielle Schwächen mitbringt.

Aber aus irgendeinem Grund scheint sich SELinux ja trotzdem durchzusetzen.

Ich könnte mir durchaus vorstellen dass es damit zusammenhängt, dass gerade großen Firmen wichtig ist, dass da "jemand Namenhaftes" hintersteht, so kommt http://www.nsa.gov/selinux/info/contrib.cfm sicher besser an, als

Beginning today, May 31, 2004, development of grsecurity will cease. On June 7, the website, forums, mailing list, and CVS will be shut down[...] I began the summer in debt and had to borrow money from family to pay for food. [...] I am the sole developer and originator of ideas for the project. [...]

Nicht falsch verstehen, ich habe bisher eigentlich immer grsec favorisiert, und denke der Autor hat da wirklich einen guten Job gemacht. Und ja, es steht unter der GPL... aber gerade bei so Projekten wo im Prinzip nur eine Person die Entwicklung vorantreibt, kann sowas schnell passieren, und es ist nicht gesagt dass die Entwicklung überhaupt oder zeitnah forgesetzt wird. So z.B. auch beim Turck PHP-Cache, den ich für den besten PHP-Cache halte, aber leider enthält dieser ein paar Bugs und der Autor hat das GPL-Projekt vor 10 Monaten stillgelegt, und bis heute hat sich da nichts getan.

Mich würde mal interessieren was die Leute von SELinux konkret zu http://www.rsbac.org/lsm.htm und http://www.grsecurity.net/lsm.php sagen, aber hierzu konnte ich bisher nichts finden. Kennt da jemand was von Euch?

CaptainCrunch wrote:- Die kommende Fedora Core 2 wird SELinux zwar per default deaktiviert lassen, dafür aber eine gewisse Standardpolicy mitbringen, die für ganz allgemeine Zwecke halbwegs passabel nutzbar ist.

Ja, und auch Gentoo konzentriert sich in der letzten Zeit immer mehr auf SELinux, und bietet ebenfalls Policies: http://www.gentoo.org/proj/en/hardened/ ... /index.xml

Ebenfalls interessant finde ich das recht neue Server-Projekt: http://www.gentoo.org/proj/en/server/index.xml, mal schauen was es da in naher Zukunft so gibt ;-)

Was ich ganz interessant fand: http://www.nsa.gov/selinux/list-archive ... body35.cfm


Viele Grüße
Andreas